Την Τετάρτη, το Φινλανδικό Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC-FI) ανακοίνωσε ότι το κακόβουλο λογισμικό Akira ransomware είχε εκδηλώσει έντονη δραστηριότητα προς το τέλος του περασμένου έτους, αναδεικνύοντας την ανησυχητική παρουσία του.

Το Akira ransomware εντοπίστηκε για πρώτη φορά στη Φινλανδία τον Ιούνιο του 2023 και, σύμφωνα με το NCSC-FI, έχουν καταγραφεί 12 αναφορές για επιθέσεις με αυτό το κακόβουλο λογισμικό που επηρέασαν Φινλανδικούς οργανισμούς.

Από τις αναφορές αυτές, σημειώθηκαν τρεις επιθέσεις κατά τη διάρκεια των Χριστουγέννων. Οι χάκερς επικεντρώθηκαν σε οργανισμούς που χρησιμοποιούσαν ευάλωτες συσκευές Cisco ASA ή FTD, οι οποίες λειτουργούν στο διαδίκτυο. Οι παραβιάσεις πραγματοποιήθηκαν είτε με τη χρήση διαρροής διαπιστευτηρίων, είτε εκμεταλλευόμενοι μια ευπάθεια (CVE-2023-20269) στα τείχη προστασίας (firewall) της Cisco.

Μετά την πρόσβαση, οι χάκερς διέγραψαν τα αντίγραφα ασφαλείας των οργανισμών πριν εκτελέσουν το ransomware. Σε κάθε περίπτωση, οι δράστες προσπάθησαν να καταστρέψουν τα αντίγραφα ασφαλείας. Μετά από σάρωση του δικτύου, κρυπτογράφησαν διακομιστές και διέγραψαν αντίγραφα ασφαλείας από διάφορες συσκευές, συμπεριλαμβανομένων των NAS servers που χρησιμοποιούνται για αυτό το σκοπό.

Η αδυναμία που αναφέρθηκε επηρέασε την ασφάλεια του τείχους προστασίας (firewall) της Cisco, λόγω ανεπαρκούς διαχωρισμού σε θέματα αυθεντικοποίησης, εξουσιοδότησης και αποτελεσματικότητας. Είναι προφανές, ότι οι προσβάσεις δεν ελέγχονταν επαρκώς, λόγω της έλλειψης ελέγχου ταυτότητας δύο παραγόντων.

Γενικά, οι επιθέσεις αποτελούν μια σοβαρή απειλή για την κυβερνοασφάλεια και απαιτούν περαιτέρω προσοχή και μέτρα προστασίας.